機密情報や社内情報を不正に持ち出す社員や退職者の過去事例と対策法

【投稿日】 2022年6月23日 【最終更新日】 2022年7月6日

働き方改革により、いつでもどこでも仕事ができる「リモートワーク」が普及することで便利になる反面、機密情報や社内情報に関する意識は低下してきています。

機密情報や社内情報が外部に漏れてしまった時、会社には多大なるリスクがもたらされてしまいます。情報の持ち出しを防ぐためにはどのような対策方法をとるべきなのか、過去の事例やリスクと併せてご紹介いたします。

機密情報や社内情報を持ち出された時のリスク

従業員が持ち出す企業秘密の内容によっても異なりますが、損害賠償リスクやノウハウ流出、顧客流出、最悪の場合刑事罰に値する可能性もあります。

また、企業秘密の漏洩は、会社の情報管理体制に疑問が生じる可能性があり、個人情報保護法上の安全管理措置義務（同法34条）違反の責任を負うことにもなりかねません。

リスク1：損害賠償リスク

企業秘密である「顧客情報」が持ち出されると、顧客の「氏名」「電話番号」「住所」などの個人情報が流出してしまいます。個人情報が悪用され顧客が不利益を被った場合、企業は流出した顧客から損害賠償請求をされる可能性もあります。

1人あたりの損害賠償額は、さほど高額にはなりませんが、一度に大量の顧客情報が流出した場合、莫大な額の賠償請求をされる恐れもあります。

損害賠償の請求額によっては、企業の財政面にかなりの打撃を与えかねません。日本ネットワークセキュリティ協会による「2018年情報セキュリティインシデントに関する調査報告書」では、2018年に起きた個人情報漏洩インシデントの1件当たりの漏洩人数は1万3334人で、1人当たり平均想定損害賠償額は2万9768円、1件当たりの平均想定損害賠償額は6億3767万円と言われています。このような多額の賠償請求をされてしまえば、かなりの損失になります。

また、損害賠償請求に発展すれば、企業に対する信頼も落ち、今まで築き上げてきた取引先や顧客などへの信頼関係も失墜してしまいます。

リスク2：ノウハウ流出リスク

企業が保有している独自の開発技術やノウハウが流出した場合、同じ市場での競争が難しくなり、企業に大きなダメージを与えることがあります。特許を取得している技術が流出したり、他にも技術情報が流出してしまうと市場での競争力を失ってしまう恐れがあります。他の競合企業にノウハウを知られてしまうのは市場戦略的にも不利です。

リスク3：顧客流出のリスク

退職者や社員が自社企業と競合する他社に顧客情報や顧客を誘導する場合もあります。顧客情報が流出すると、他社からの営業などを受けて顧客がそちらへ流れてしまう恐れもあります。顧客情報の流出が顧客に知られると、企業に対するイメージも悪化する原因になります。

リスク4：刑事罰のリスク

個人情報保護法は、個人情報を扱う上で事業者が守るべき義務を定めています。これらを守らなかった場合、もしくは違反した場合には国からの勧告や命令などを受ける可能性があります。令和2年には、改正個人情報保護法案が可決され、事業者へのペナルティが引き上げられました。この命令に従わない事業所に対して、命令違反の法定刑が1年以下の懲役または100万円以下の罰金刑が科されるようになりました（改正法第83条）。

個人情報取扱事業者またはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処することとされています。（改正法第87条1項）。

個人情報保護法では、個人情報とは、以下のものを指します。

『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるもの。』

これらを認識し、個人情報の流出を防いでいかないと、刑事罰の対象となります。

以前は取り扱う個人情報の数が5,000件以下の事業者は個人情報保護法の規制対象から外されていましたが、2017年に改正個人情報保護法が施行されたことで、現在では全ての事業者が対象とされています。

機密情報や社内情報を不正に持ち出されないための対策方法

機密情報や社内情報を不正に持ち出されないためには、一体どんな対策をしていくべきなのでしょうか。大きく分けて「物理的な対策方法」「心理的な対策方法」の2つに分けられます。これらについて詳しく見ていきましょう。

1：物理的な対策方法

物理的な対策方法としては、「直接情報に触れさせない」「情報を知る機会を減らす」などが挙げられます。

具体的な方法としては以下の通りです。

物理的な対策方法1：機密情報を置いている部屋にアクセス制限をかける

機密情報は特定の棚や倉庫にまとめて保管して施錠しておき、機密情報が保管されている部屋に入れる人間を制限しておく方法もあります。機密情報にアクセスできる場所への立ち入りを制限することをゾーニングといいます。

物理的な対策方法2：アクセス制限の実施・アクセス記録の確認をする

機密情報への「アクセス制限の実施」や「アクセス情報の確認」も、社内秘密の持ち出しを防ぐために必要な対策の1つになります。まずは情報を社外秘、部外秘、という風に分類していき、次に、「業務上、その情報をどうしても知っていないといけないのは誰か」という観点から、「その情報にアクセスできる人間を選別する」必要があります。このような取り組みを行ったうえでアクセス権をそれぞれに付与し、アクセスログなどをきちんと管理していく作業を行うと情報漏洩の抑止につながります。

物理的な対策方法3：USBメモリやパソコンを社外に持ち出すのを禁止する

近年では小型の情報記憶装置に膨大なデータを保存することが可能です。そういったところから情報漏洩に繋がるので、USBやパソコンの持ち出しを禁止する、あるいは社外からの持ち込みを禁止することで抑止につながります。パソコンも、自宅のものを使用するのではなく会社から支給されたもののみで作業を行うよう指示するのも大切です。

2：心理的な対策方法

心理的な対策方法は、従業員が機密情報を持ち出そうという気持ちを抱かせないようにする必要があります。

また、従業員に対して情報セキュリティの研修を行い、情報流出によっておこるリスクやどれだけの損害があるかなどを事例と共に説明することで心理的に抑止出来る効果も期待できるでしょう。退職者に情報漏洩をさせないためには、漏らしてはいけない情報を確認するのではなく、情報を漏らさない意識づくりが必要になります。
会社側からの意識改革を行うことで、「持ち出してはいけなかったとはしらなかった」という言い逃れが出来ないように指導しておくのも必要になります。具体的には以下の通りです。

心理的な対策方法1：秘密保持契約の締結を行う

まず必要なのが、「秘密保持契約」の締結です。入社時に締結するのが一般的ですが、情報漏洩のリスクをさげるためにも、「機密情報を扱う仕事」や「社外秘のプロジェクトを進めるとき」などにも締結しておくと良いでしょう。秘密保持に関する誓約書を作成し、社員に署名・捺印をしてもらうことで、情報漏洩のリスクは下がります。

心理的な対策方法2：就業規則に明記する

就業規則に「秘密保持義務に違反した場合、懲戒処分の対象となる」という内容を記載していた場合、それに違反した社員に対しては懲戒処分を下すことができます。懲戒処分は、社員にとっても金銭面・出世面共に大きなダメージとなるため、抑止につながります。

就業規則において、懲戒処分の対象となる行為に「営業情報の持ち出し」を明記することにより、心理的な側面から情報漏洩への意識を作ることができます。

具体的には、就業規則の「服務規律」の1つとして「営業情報の持ち出し」の禁止を明記しておくのが良いでしょう。

心理的な対策方法3：紙ベースの情報の管理をする

顧客の名刺や、顧客情報が書かれている書類なども社外秘の情報に含まれています。そのため、社内秘密の持ち出しを防ぐには紙ベースの情報も管理することが望ましいです。

企業秘密にかかわる書類を管理する際には金庫を使用したり、鍵のかかる部屋で保管するというだけで社員の中に情報に対する意識が生まれるでしょう。また、社員の退職時に、名刺やファイルなどすべての情報を確実に回収することで情報漏洩を防ぐのも大切になります。

情報漏洩が出来ない環境づくりと、社員の意識改革が必要になってきます。

過去の機密・社内情報漏洩事例

リスクと対策方法が分かったところで、情報漏洩の過去の事例をご紹介していきます。今回は特に大きかった2つの事件についてご紹介いたします。

1：ソフトバンク・楽天モバイル事件

2019年、楽天モバイルの元社員が前職のソフトバンクから機密情報を不正に持ち出したとして、2021年1月12日に不正競争防止法違反（営業秘密領得）容疑で警視庁に逮捕された事件です。

被告の元社員は、楽天モバイルへの転職試験に合格した2019年11月ごろから退職日までの間、会社のメールアドレスから個人のメールアドレスに送ったりクラウドストレージにアップロードしたりすることで、ソフトバンクのネットワーク情報が含まれた多数の電子ファイルなどを持ち出していました。

同人物は、不正競争防止法違反の容疑で2021年1月に逮捕、2月に起訴されています。また、同年5月、ソフトバンクは楽天モバイルと同人物に対して、営業秘密の利用停止と、約1,000億円の損害賠償請求権の一部として10億円の支払い等を求める民事訴訟を提起しました。

ソフトバンクでは、以前にも、元社員が元外交官のロシア人から接待を受け、電話基地局設置に関する営業秘密を社内サーバーから不正に取得し、対価を得て漏洩させた事件が発生しており、会社のセキュリティ体制にも厳しい目が向けられました。

2：積水化学事件

2020年には、積水化学の元社員が、社内サーバーから営業秘密情報を私物のUSBにコピーして取得し、３度に渡って同社の営業秘密にあたる導電性微粒子の製造工程に関する情報を中国の電子部品メーカー「潮州三環グループ」に送信したとされます。

この情報漏洩事件は、同僚がこの人物の不正に気付き、社内調査が実施された結果、発覚しました。会社はこの人物を懲戒解雇し、刑事告訴しました。その後、この人物は不正競争防止法違反容疑で書類送検されました。懲役２年と罰金１００万円、執行猶予４年（求刑懲役２年、罰金１００万円）を言い渡した。

機密・社内情報流出後の法的措置方法

情報流出が発覚した後にはどのような措置を取ることが出来るのでしょうか。刑事責任と民事責任の2つの観点から見ていきましょう。

法的措置方法1：刑事責任の追及

情報の持ち出しは、不正競争防止法や不正アクセス禁止法の罰則規定などが合わせて問題となることもあり、場合によっては、刑法の電子計算機使用詐欺罪（246条の2）、背任罪（第247条）、横領罪（第252条）とも併せて考えられます。

自分の利益確保や会社に損害を与える目的で社内データを持ち出したことにより会社に損害を与えた場合は、背任罪が成立する可能性もあります。背任罪の適用要件は、「自己もしくは第三者の利益を図る目的、もしくは本人に損害を与える目的があること」が求められます。

退職者や社員が持ち出した情報が個人情報であり、持ち出した個人情報のせいで個人の名誉が傷つけられた時には名誉毀損罪で罪に問える可能性があります。

そして、データを持ち出すこと自体に刑事責任を問う「不正アクセス禁止法」という法律も存在します。アクセス権限を持たない従業員が、パスワードを不正に入手するなどして社内データを持ち出した場合、第三者に不利益をもたらしていなくても、その行為自体に刑事責任を問うことができます。

法的措置方法2：民事責任の追及

情報が持ち出されていることによって会社に損害が出ているときには情報を持ち出した対象者に対して民事責任を追求することができます。民事責任を追及する際には、交渉して和解を目指したり、訴訟をして機密情報を差し止めたり、賠償請求を行ったりすることができます。

情報を構造的に「持ち出せない」環境づくりが大切！

情報漏洩をさせないためには、「物理的な対策方法」と「心理的な対策方法」の2つの側面から社内環境を整えていく必要があります。状況的にできない空間を作ったり情報を持ち出してはいけない空気を作ることで抑止につながります。

社内の情報を持ち出されると、企業は大きな損害を受けます。それらを防ぐためにも、「持ち出せない」環境を作っていきましょう。

社内の機密情報の持ち出しに関する不正調査は探偵事務所に！

社内の不正調査には、監視カメラなどを使用して調査いたします。

詳しい調査の手法はここでは言えませんが、裁判でも使用できる不正の証拠を確保、保全いたします。

2020年6月、兵庫県尼崎市が全市民46万人の個人情報が入ったUSBメモリーを紛失する事件がありました。

どれだけサイバーセキュリティや構造的に持ち出せない環境を高めようとも、運用しているのは人なので何が起きるかわかりません。

抜き打ちで社内調査をする相談も受け付けております。

お気軽にお電話、お問い合わせフォームより、ご相談ください。